例:ステートレス ファイアウォール フィルター条件のログ記録の構成
この例では、パケットヘッダーを記録するために、標準のステートレスファイアウォールフィルターを設定する方法を示しています。
要件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、ステートレス ファイアウォール フィルターを使用して、送信元または宛先として 192.168.207.222 を持つ ICMP パケットをログに記録してカウントします。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
- CLIクイック構成
- ファイアウォール施設の syslog メッセージ ファイルを設定する
- ステートレス ファイアウォール フィルターを構成する
- ステートレス ファイアウォール フィルターの論理インターフェイスへの適用
- 受験者の設定を確認してコミットする
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit]
階層レベルの CLI にコマンドを貼り付けます。
set system syslog file ICMP_filter firewall info set system syslog file ICMP_filter archive no-world-readable set firewall family inet filter icmp_syslog term icmp_match from address 192.168.207.222/32 set firewall family inet filter icmp_syslog term icmp_match from protocol icmp set firewall family inet filter icmp_syslog term icmp_match then count packets set firewall family inet filter icmp_syslog term icmp_match then syslog set firewall family inet filter icmp_syslog term icmp_match then accept set firewall family inet filter icmp_syslog term default_term then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input icmp_syslog
ファイアウォール施設の syslog メッセージ ファイルを設定する
ステップバイステップでの手順
firewallファシリティの syslog メッセージ ファイルを設定するには、次の手順に従います。
firewallファシリティに対して生成されるすべての syslog メッセージのメッセージ ファイルを設定します。
user@host# set system syslog file ICMP_filter firewall info
アーカイブされた firewall ファシリティのsyslogファイルに対する権限を、rootユーザーとJunos OSメンテナンス権限を持つユーザーに制限します。
user@host# set system syslog file ICMP_filter archive no-world-readable
ステートレス ファイアウォール フィルターを構成する
ステップバイステップでの手順
送信元または宛先として 192.168.207.222 を持つ ICMP パケットをログに記録してカウントするステートレス ファイアウォール フィルターicmp_syslogを設定するには:
ステートレス ファイアウォール フィルター icmp_syslogを作成します。
[edit] user@host# edit firewall family inet filter icmp_syslog
ICMPプロトコルとアドレスでマッチングを設定します。
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match from address 192.168.207.222/32 user@host# set term icmp_match from protocol icmp
カウントし、記録し、一致するパケットを受け入れます。
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match then count packets user@host# set term icmp_match then syslog user@host# set term icmp_match then accept
他のすべてのパケットを受け入れます。
[edit firewall family inet filter icmp_syslog] user@host# set term default_term then accept
ステートレス ファイアウォール フィルターの論理インターフェイスへの適用
ステップバイステップでの手順
ステートレス ファイアウォール フィルターを論理インターフェイスに適用するには:
ステートレス ファイアウォール フィルターを適用する論理インターフェイスを構成します。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
論理インターフェイスのインターフェイスアドレスを設定します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
ステートレス ファイアウォール フィルターを論理インターフェイスに適用します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input icmp_syslog
受験者の設定を確認してコミットする
ステップバイステップでの手順
候補の設定を確認してコミットするには、次の手順に従います。
show system
設定モード コマンドを入力して、firewall施設の syslog メッセージ ファイルの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show system syslog { file ICMP_filter { firewall info; archive no-world-readable; } }
show firewall
設定モード コマンドを入力して、ステートレス ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show firewall family inet { filter icmp_syslog { term icmp_match { from { address { 192.168.207.222/32; } protocol icmp; } then { count packets; log; accept; } } term default_term { then accept; } } }
show interfaces
設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input icmp_syslog; } address 10.1.2.3/30; } } }
デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 show log filter
コマンドを入力します。
user@host> show log ICMP_filter Mar 20 08:03:11 hostname feb FW: ge-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
この出力ファイルには、以下のフィールドが含まれています。
Date and Time- パケットを受信した日時(デフォルトでは表示されていません)。
フィルター操作:
A- 受諾 (または次の用語)
D- 破棄
R- 拒否
Protocol- パケットのプロトコル名またはプロトコル番号。
Source address- パケット内の送信元 IP アドレス。
Destination address- パケット内の宛先 IP アドレス。
注:プロトコルが ICMP の場合、ICMP のタイプとコードが表示されます。その他のすべてのプロトコルでは、送信元ポートと宛先ポートが表示されます。
最後の 2 つのフィールド (両方ともゼロ) は、それぞれ送信元と宛先の TCP/UDP ポートで、TCP または UDP パケットについてのみ表示されます。このログ メッセージは、この一致のパケットが約 1 秒間隔で 1 つだけ検出されたことを示します。パケットの到着が早い場合、システム ログ機能は生成される出力が少なくなるように情報を圧縮し、次のような出力を表示します。
user@host> show log filename Mar 20 08:18:45 hostname feb FW: ge-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (515 packets)